Kaseya - na cyberataku ucierpiały niemieckie i szwedzkie firmy

Hakerzy wykorzystali lukę w zabezpieczeniach amerykańskiego dostawcy usług IT Kaseya, aby zaatakować klientów programem szyfrującym dane i żądającym okupu (ransomware). Był do tak zwany atak typu "zatrute źródło". Polega ona na "zatruciu" oprogramowania, jakie produkuje firma obsługująca inne podmioty - dzięki niemu przestępcy mogą włamać się do systemów pozostałych klientów. Systemy w szwedzkich i niemieckich firmach dotkniętych atakiem zostały wyłączone na prośbę specjalistów Kaseya, trwa proces mający na celu przywrócenie wszystkich funkcji, kolejne aktualizacja jest planowana na 5 lipca. "Dzięki błyskawicznej reakcji naszego zespołu, wierzymy że atak dotknął bardzo małej grupy klientów" - czytamy w oświadczeniu firmy.Na podstawie kodu oprogramowania eksperci ds. bezpieczeństwa IT przypisali atak grupie hakerów REvil, która ma siedzibę w Rosji. REvil stał kilka tygodni temu za atakiem na największą na świecie firmę mięsną JBS, która w wyniku tego musiała na kilka dni zamknąć zakłady w USA i innych krajach - czytamy w depeszy PAP. Ostatecznie zapłaciła 11 mln dolarów okupu.  Tym razem REvil na żądać 70 mln dolarów za odblokowanie komputerów i systemów.W piątek wieczorem po ataku hakerskim na amerykańskiego dostawcę oprogramowania w korzystającej z jego usług sieci sklepów spożywczych Coop w Szwecji przestał działać system kas Visma Esscom. 800 sklepów Coop pozostawało w niedzielę zamkniętych po ataku.

- Grupy zajmujące się atakami ransomware są cały czas aktywne. Dla hakerów jest to bardzo intratny biznes. Warto w tym miejscu przywołać prognozy Gartnera, według którego do 2025 roku co najmniej 75 proc. działów IT stanie w obliczu jednego lub więcej tego rodzaju incydentów. Dlatego nie ulega wątpliwości, że tego typu ataki mogą się powtarzać, tym bardziej, że zawsze znajdzie się ktoś kto stworzy nową wersję malware’u - przestrzega w rozmowie z Interią Dariusz Woźniak, Zastępca kierownika działu technicznego Marken Systemy Antywirusowe, technik Bitdefender.

Kaseya Limited to założona w 2000 roku amerykańska firma informatyczna, która tworzy oprogramowanie do zarządzania sieciami, systemami i infrastrukturą informatyczną. Siedziba firmy znajduje się w Miami na Florydzie.

Ransomware - jak się bronić przed takimi atakami?

- Na dzisiaj fundamentalne zasady dostępu, określane jako "Zero Trust" oznaczają, że użytkownik systemu w którym pracuje powinien mieć minimalne uprawnienia (na pewno nie administratora), uwierzytelniać się dwuskładnikowo (hasła wyciekają lub można je złamać), dostęp z Internetu i do Internetu powinien być odpowiednio kontrolowany i filtrowany, a poszczególne urządzenia w sieci (jeśli jest ich więcej niż jedno) powinny być od siebie separowane i nie mieć bezpośredniego dostępu (aby uniknąć tzw. lateral movement - podstawowej taktyki "przeskakiwania" pomiędzy chronionymi komputerami po pokonaniu zabezpieczeń jednego z nich) - tłumaczył w rozmowie z Interią Łukasz Bromirski z Cisco Security.

- Wiemy dzisiaj, że firmy, które stosują choćby minimum ochrony mają dużo większe szanse ochronić się przed atakiem - wykradzeniem informacji, ransomware, itd. A nawet jeśli dojdzie u nich do włamania, będzie miało one ograniczony zakres - i skutki - dodał Bromirski.